Przyczyny coraz częstszych kradzieży, których ofiarami są użytkownicy urządzeń mobilnych, są różne — od słabych zabezpieczeń w instytucjach finansowych po nieuwagę użytkowników aplikacji płatniczych.
— Brak świadomości zagrożeń, z jakimi można się zetknąć, korzystając z internetu poprzez urządzenia mobilne, powoduje, że najczęstszymi ofiarami ataków są ich użytkownicy — uważa Michał Ciemięga, menedżer sprzedaży w Trend Micro.
Liczba użytkowników smartfonów, którzy dzięki tym urządzeniom dokonują różnych transakcji, stale rośnie. Szacuje się, że w drugiej połowie 2013 r. mogło to być 2 mln Polaków. Bezpieczeństwo staje się więc coraz ważniejsze.
Zabezpiecz się sam
Od czego zaczynać? Od podstawowych metod, czyli od programów antywirusowych.
— Przy wyborze należy zwrócić uwagę na to, czy system kontroluje instalowane na urządzeniu aplikacje, odwiedzane strony i czy potrafi blokować wszystkie aplikacje, poza wskazanymi przez użytkownika — wyjaśnia Michał Ciemięga.
W sklepie Google Play jest już dostępnych ponad 1,3 mln aplikacji mobilnych, a liczba złośliwych aplikacji atakujących system Android sięga kilku milionów, co zwiększa ryzyko ściągnięcia niebezpiecznego programu przez użytkownika lub ataku przez zainfekowane pliki.
Najlepszym sposobem ochrony transakcji mobilnych jest zainstalowanie oprogramowania z funkcjami czyszczenia historii, skanowania chroniącego prywatność, bezpiecznego przeglądania stron, ochrony zgubionego urządzenia, tworzenia kopii zapasowej i przywracania danych, skanera ustawień prywatność na Facebooku, blokowania połączeń i wiadomości.
Zadbaj o pracownika
W miejscach pracy konieczne jest natomiast zainstalowanie rozwiązania, które będzie chroniło przed atakiem i pozwalało kontrolować aplikacje uruchamiane w firmowych systemach. Specjaliści zalecają także instalację systemów antymalware’owych, zwiększających bezpieczeństwo na smartfonach i na tabletach oraz kontrolujących, czy ściągana przez użytkownika aplikacja nie stanowi zagrożenia. W firmach, które udostępniają pracownikom własne aplikacje, pomocne jest wdrożenie tzw. wirtualnego smartfona.
— Wtedy aplikacje nie są instalowane bezpośrednio na urządzeniach, ale znajdują się w zabezpieczonym centrum danych. Urządzenia łączą się z serwerem, który przekazuje do nich jedynie graficzną prezentację aplikacji z pełną możliwością wydawania poleceń — wyjaśnia Michał Ciemięga.
Mariusz Rzepka, dyrektor Fortinet na Polskę, Białoruś i Ukrainę, podkreśla, że na bezpieczeństwie nie oszczędzają firmy o najwyższej kulturze technologicznej. Teraz przyszła pora na małe i średnie przedsiębiorstwa, które muszą zrozumieć, że ta dziedzina wpływa na ich pozycję rynkową.
— Polskie firmy stale podwyższają budżety na bezpieczeństwo. Ciągle są one jednak niższe niż w zachodnioeuropejskich spółkach. Zapewne krajowy biznes będzie próbował nadrobić zaległości w tej dziedzinie, co w najbliższych latach zaowocuje wysypem wdrożeń — przewiduje dyrektor Rzepka.
Opieka banku
Przy mobilnych transakcjach płatniczych ważne są zabezpieczenia,które proponuje bank. Część wciąż wybiera metody autoryzacji kartami TAN (zdrapki z jednorazowymi hasłami) lub tzw. tokeny sprzętowe.
— Niestety, nie są to metody dostosowane do dzisiejszych zagrożeń, gdyż hasła z karty TAN czy tokena sprzętowego nie są powiązane z operacją, którą potwierdzają. Używając takiego hasła, można potwierdzić dowolną transakcję — ostrzega Paweł Jakub Dawidek, dyrektor do spraw technicznych i oprogramowania w Wheel Systems.
Ważne, by metoda autoryzacji pozwalała przekazać klientowi szczegóły operacji za pomocą innego kanału niż ten, którym łączy się z bankiem.
— Jedną z najpopularniejszych i najbezpieczniejszych metod autoryzacji transakcji stosowanych przez polskie banki jest mTAN, czyli hasła wysyłane SMS-em. Choć i ten sposób nie jest pozbawiony wad. Klient musi wiedzieć, że treść wiadomości z banku można podejrzeć, kiedy przechodzi przez bramkę brokera i operatora sieci GSM, w której jest zalogowany telefon — mówi Paweł Jakub Dawidek.
Takich wad nie ma CERBToken. Po wpisaniu danych do przelewu na stronie pojawia się dziewięciocyfrowy kod. Zadaniem użytkownika jest przepisanie go do aplikacji, która rozwija go ponownie do najważniejszych informacji o operacji. Dopiero, gdy klient stwierdzi, że dane są poprawne, aplikacja poda jednorazowe hasło, którym można autoryzować tylko konkretną operację.